Verificación de la integridad al defender contra virus

Share

|

Al defender contra virus, estamos tratando de las criaturas que modifican sus programas del anfitrión mientras que se separan. Por lo tanto, unidireccional detectar la presencia de un virus es descubrir los archivos que se han modificado inesperado. El proceso de la verificación de la integridad apunta alcanzar esta meta por después de estos pasos:

1. Mientras que la máquina está en un estado prístino, las huellas digitales del cálculo (en la forma de sumas de comprobación o criptográfico hashes) de archivos esa necesidad de ser supervisado, y los registran en una base de datos de la línea de fondo.

2. Al explorar el sistema de ficheros para las modificaciones sospechosas, compute las huellas digitales de ficheros bajo control de GAC y compare los valores a ésos en la línea de fondo.

3. Si las diferencias inexplicadas entre el estado actual y la línea de fondo se detectan, publique una alarma.

Hay varios usos comerciales y libres que se dedican a poner tales procedimientos de la verificación en ejecucio'n de la integridad. El más famoso de estas herramientas es probablemente Tripwire (disponible en www.tripwire.com), que ha sido capaz de detectar cambios desautorizados al sistema de ficheros desde que primero fue lanzado en 1992. El Tripwire y el otro software de este tipo no son inspectores del virus por sí mismo que—tales programas tienen como objetivo el alertar de los administradores de cambios sospechosos al estado de la máquina sin importar si el ataque fue realizado por el malware o ejecutado a través de un poco de otro canal.

Los acercamientos de la verificación de la integridad se pueden también utilizar por el software del antivirus, aunque los vendedores son raramente próximos sobre el grado a el cual han puesto tales mecanismos en ejecucio'n. Sophos AntiVirus se conoce para utilizar sumas de comprobación para ayudar a determinarse si un archivo necesita ser examinado más cuidadosamente vía otros métodos de detección. Al explorar un archivo, Sophos AntiVirus computa la suma de comprobación del archivo y la compara al valor calculado anterior. Si las sumas de comprobación no emparejan, después hay una ocasión que el archivo fue infectado, y el programa del antivirus pudo necesitar examinarlo más a fondo.

Un producto del antivirus que intenta hacer el la mayoría de técnicas de la verificación de la integridad es probable ser selectivo sobre las porciones del archivo que fingerprinted para las comparaciones de la línea de fondo. Por ejemplo, podría ser aceptable para el contenido de un documento de Microsoft Word cambiar cuando el usuario corrige su texto; sin embargo es menos común lejano para las macros encajadas en el documento que se modificará. Por lo tanto, el software del antivirus pudo ser más sospechoso de los cambios detectados en la sección de las macros del documento.

La limitación principal del método de la verificación de la integridad es que detecta la infección solamente después que ocurre. Sin embargo, es una adición útil a los acercamientos que consisten en de la caja de herramientas que buscan las firmas de los especímenes sabidos del malware y a los que utilicen la heurística para detectar código dañoso. Desafortunadamente, software uniforme del antivirus que pone cada uno en ejecucio'n de estos detección